左曉棟：《網絡安全審查辦法》的修訂，發(fā)生在對滴滴等赴美上市企業(yè)審查期間，且其條款針對企業(yè)赴國外上市作了明確規(guī)定，所以大家很容易將這兩件事關聯(lián)起來，公眾的關注點也很容易停留在這上面。事實上，這次修訂是一次重大制度設計。

首先，《修訂草案》中相關上市要求條款是在落實最近中辦、國辦最近印發(fā)的《關于依法從嚴打擊證券違法活動的意見》精神。該意見要求“加強跨境監(jiān)管合作。完善數據安全、跨境數據流動、涉密信息管理等相關法律法規(guī)”。

其次，更重要和更實質性的，《修訂草案》是為了落實《數據安全法》第二十四條的要求。該條提出，國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。企業(yè)赴國外上市只是可能出現數據安全風險的一種具體情形，所以從整體上說，《修訂草案》是為了建立數據安全審查制度。

《數據安全法》將在2021年9月1日實施，此次審查辦法的修訂，表明數據安全法進入實施前緊鑼密鼓的準備階段，法律中設立的各項重大制度將逐步通過法規(guī)和細則予以落實。

左曉棟：關于網絡安全審查制度和數據安全審查制度的關系，社會上有幾種疑問。一是：這兩個制度是同一個部門實施嗎？在網絡安全審查制度已經由國家網信部門實施的情況下，數據安全審查制度是否由中央國家安全領導機構的辦事機構或國家安全機關實施？二是：如果數據安全審查制度也由國家網信部門實施，那么網絡安全審查制度和數據安全審查制度會合并實施嗎？

這些疑問涉及到部門職責，需要權威部門給出解答。但有幾個事實是清晰的。一是中央網信辦已經成立了一個新的局，即“網絡數據管理局”，最近的新聞中已經披露了該局的一些公開活動；二是《修訂草案》所有新修訂內容都明確指向了對數據處理活動影響國家安全風險的審查，且在《修訂草案》中這本身屬于網絡安全審查的一部分。這兩個事實應該能夠部分回答社會上的上述疑問。

另外，從技術上講，至少有以下三點也是明確的：

（1）《數據安全法》第二十四條提出數據安全審查制度的立法宗旨，就是防范數據處理活動帶來的國家安全風險，這與《修訂草案》的變動是一致的。

（2）網絡安全和數據安全不可能絕對剝離，且很多網絡安全風險來自數據處理活動，網絡安全審查制度天然應當包括對數據處理活動的審查。即使在修訂之前的《網絡安全審查辦法》中，也已經考慮了“重要數據被竊取、泄露、損毀的風險”。因此，如將兩者嚴格分開甚至放在不同部門，本身有違科學規(guī)律。

（3）在國家已經建立了整套網絡安全審查制度的前提下，不太可能也沒有必要另起爐灶重新建立一個數據安全審查辦公室、重新指定技術支撐機構，這在資源上也是浪費，且因技術上的部分重合必然帶來職責交叉。

當然，數據安全審查制度的建立是一個需要不斷探索的過程，我認為這次只是一個開頭，并不表明這個制度已經完全建立起來了、所有的問題都解決了。但是其邁出了最重要的第一步，相信這個制度會隨著時間發(fā)展不斷健全完善。

左曉棟：滴滴被審查之初，的確很多人猜測是因為滴滴被列為了關鍵信息基礎設施。因為網絡安全審查的啟動條件是關鍵信息基礎設施運營者采購產品和服務時可能影響國家安全。甚至為此還引發(fā)了很多“陰謀論”。

事實上，這與滴滴是否被列為關基沒有必然關系，因為網絡安全審查的啟動還有第二種條件，即網絡安全審查機制成員單位認為網絡產品和服務可能影響國家安全。數據處理活動，顯然是一種“網絡服務”。

因此，對滴滴等企業(yè)啟動安全審查，法律依據是充分的。

不同的是，滴滴等這些企業(yè)存在的網絡安全風險，主要是數據安全風險，且因企業(yè)赴美上市而引發(fā)。因此，雖然法律依據充分，但舉一反三，盡快建立我國數據安全審查制度，針對特定領域的安全風險作出制度性安排，并針對企業(yè)赴國外上市等特殊場景明確制度細則，就成了當務之急。

數據安全法的確還沒有生效，但審查辦法的修訂也有一個過程。修訂完成開始實施時，一定會和數據安全法的生效日期保持協(xié)調，也就是2021年9月1日。

左曉棟：應當從數據安全法的實施范圍出發(fā)去理解“數據處理者”?！稊祿踩ā芬?guī)定，數據處理包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。這意味著，所有涉及上述數據處理活動的主體，只要其活動影響或可能影響國家安全，都應當接受網絡安全審查。從這個角度而言，修訂后的網絡安全審查辦法的規(guī)范對象較廣。

當然，對實施范圍的理解也要結合網絡安全審查辦法的特性。網絡安全審查是一種重要的威懾手段，既然是“威懾”，那就不可能輕易、頻繁使用。所以，雖然沒有規(guī)定哪類數據處理活動一定可以豁免網絡安全審查，但也不可能每一次的數據處理活動都要進行審查。但我個人認為，今后在這個問題上有必要制定進一步的細則?！缎抻啿莅浮返诹鶙l規(guī)定，掌握超過100萬用戶個人信息的運營者赴國外上市要申報網絡安全審查，這是一種明確的啟動條件。但其他情形下數據處理活動進入網絡安全審查程序的啟動條件是什么呢？評判標準是什么呢？這有待后續(xù)明確。

至于審查辦法的修訂稿實施后，哪些企業(yè)需要補充申報網絡安全審查，或者主動申報網絡安全審查，需要等待政策進一步的規(guī)定。但可以明確的是，從現在起，所有的數據處理者，特別是掌握了批量個人信息或重要數據的大型互聯(lián)網企業(yè)、公共服務機構，以及已經在國外上市的互聯(lián)網企業(yè)，要自行組織或者委托專業(yè)機構對本企業(yè)數據處理的合規(guī)性，特別是其數據處理是否可能影響國家安全，抓緊開展自查。

即使沒有網絡安全審查制度，相關企業(yè)也應該重視這項工作。因為《數據安全法》第三十條已經對重要數據處理者規(guī)定了“定期開展風險評估”的義務。《個人信息保護法（二審稿）》第五十四條也規(guī)定了“合規(guī)審計”的義務，第五十五條規(guī)定了“事前進行風險評估”的義務。

左曉棟：有必要指出，網絡安全審查制度的實施從來就不是只“對外”或者“對內”。這個制度一視同仁，目的是建立在開放環(huán)境下維護國家安全的能力。所謂“開放環(huán)境”，是指在全球化條件下，不可能閉關鎖國拒絕國外網絡產品和服務，但也不意味著國內產品和服務就沒有風險。

另外還要指出，很多人將注意力放在審查滴滴是網絡安全審查制度首次彰顯威力，這種論斷有吸引眼球的嫌疑。加上前期的三年試行、去年一年的正式實施，這項制度已經有四年之久的歷史了，怎么可能是第一次實施呢？又怎么可能只盯著國內企業(yè)呢？因此，社會上炒作“首次”和“國內企業(yè)”毫無意義。

《修訂草案》第六條的規(guī)定的確針對的國內企業(yè)，因為在國外上市是一種特定的可能導致數據安全風險的活動，是當前的一個熱點問題，國外企業(yè)在美國上市管他干什么？但這不是《修訂草案》新增審查內容的全部。甚至根據《數據安全法》第二條的規(guī)定，不但境內的國外、國內企業(yè)開展數據處理活動要管，甚至境外的數據處理活動如果影響我國國家安全，不排除也要進行審查。

100萬的確不是一個高門檻，對目前主流互聯(lián)網服務而言，用戶可以輕易超出100萬。特別是企業(yè)到了可以上市的程度時，其用戶量更為可觀。但這個100萬的數字并不是從企業(yè)經營規(guī)?；蚪洕鷮嵙紤]的，而是綜合考慮了我國互聯(lián)網產業(yè)發(fā)展的實際情況、批量個人信息泄露后對國家安全和公共利益帶來的影響而確定的標準，主要考慮的是社會影響。實踐中，100萬用戶已經是很大的群體，發(fā)生個人信息安全事件的影響已經相當嚴重，所以說這個門檻是相對合適的。

左曉棟：審查辦法修訂后，需要審查的情形增多，有的比較復雜，例如在國外上市這種情況。這次審查機制成員單位增加了證監(jiān)會，針對的也是這類情況。因此，特別審查程序的時間需要適當延長。

出于效率的考慮，常規(guī)審查程序的時長沒有變化。所以總體而言，審查程序沒有本質變化。

但也要看到，《修訂草案》畢竟擴展了數據安全審查內容，所以在具體的審查標準、技術手段、工作流程等方面，應當會做一些新的準備。

當然，一些人可能會關心，將來審查辦或審查技術與認證中心是不是會“忙不過來”？新增的工作肯定會有，但我認為也不至于出現忙不過來的情況。這里面可能有個認識上的誤區(qū)。如前所述，“審查”是一種非常規(guī)手段，不是“審計”，不是“評估”，不會事事審、時時審。